Tweet
Deep packet inspection (DPI) là gì?
Deep packet inspection, còn được gọi là DPI, trích xuất thông tin, IX hoặc complete packet inspection, là một loại filter mạng. Deep packet inspection sẽ loại bỏ phần dữ liệu và tiêu đề của gói được truyền qua điểm kiểm tra, loại bỏ bất kỳ sự không tuân thủ nào đối với protocol, spam, vi rút, xâm nhập và bất kỳ tiêu chí được xác định nào khác để chặn gói đi qua điểm kiểm tra
Deep packet inspection cũng được sử dụng để quyết định xem một gói cụ thể có được chuyển hướng đến đích khác hay không. Tóm lại, Deep packet inspection có thể xác định vị trí, phát hiện, phân loại, chặn hoặc định tuyến lại các gói có mã hoặc reroute dữ liệu cụ thể không được phát hiện, định vị, phân loại, chặn hoặc chuyển hướng bằng cách filter thông thường. Không giống như các giao thức filter đơn giản, Deep packet inspection vượt ra ngoài việc kiểm tra các packet header.
Deep packet inspection hoạt động như thế nào?
Deep packet inspection là một hình thức filter các packet thường được thực hiện như một chức năng mà firewall của bạn có thể làm. nó được áp dụng ở tầng Application trong mô hình OSI.
Deep packet inspection đánh giá nội dung của các gói đang đi qua điểm kiểm tra. Sử dụng ruLes (hay policy) được chỉ định bởi riêng bạn hay nhà cung cấp dịch vụ Internet, team của bạn hoặc quản trị viên mạng hoặc hệ thống, Deep packet inspection xác định những việc cần làm với các gói cụ thể trong thời gian thực.
Deep packet inspection có thể kiểm tra nội dung của các gói này và sau đó tìm ra nó đến từ đâu, chẳng hạn như dịch vụ hoặc ứng dụng đã gửi nó. Ngoài ra, nó có thể hoạt động với các bộ lọc để tìm và chuyển hướng lưu lượng truy cập mạng từ một dịch vụ trực tuyến, chẳng hạn như Twitter hoặc Facebook hoặc từ một địa chỉ IP cụ thể.
Deep Packet Inspection Vs Conventional Packet Filtering
Các loại Filter thông thường chỉ đọc thông tin tiêu đề của mỗi gói. Đây là một cách tiếp cận cơ bản ít phức tạp hơn so với cách tiếp cận hiện đại để filter phần lớn do những hạn chế về công nghệ tại thời điểm đó. Firewall có sức mạnh xử lý rất cao và không đủ để xử lý khối lượng lớn các gói. Nói cách khác, các filter thông thường tương tự như việc đọc tiêu đề của một cuốn sách mà không có nhận thức hoặc đánh giá nội dung bên trong trang bìa của cuốn sách đó.
Với sự ra đời của các công nghệ mới, việc sử dụng Deep packet inspection trở nên khả thi. Khi nó trở nên kỹ lưỡng và hợp lý hơn, nó trở nên tương đương hơn với việc nhặt một cuốn sách, mở nó ra và đọc nó từ trang này sang trang khác.
Sử dụng các trường hợp để sử dụng Deep Packet Inspection
Có vài cách để sử dụng Deep packet inspection. nó có thể hoạt động như một hệ thống phát hiện xâm nhập hoặc kết hợp giữa ngăn chặn xâm nhập và phát hiện xâm nhập. Nó có thể xác định các cuộc tấn công cụ thể mà firewall, phòng chống xâm nhập và hệ thống phát hiện xâm nhập của bạn không thể phát hiện đầy đủ.
Nếu tổ chức của bạn có người dùng đang sử dụng máy tính xách tay của họ để làm việc, thì việc sử dụng Deep packet inspection là rất quan trọng trong việc ngăn chặn trojan, phần mềm gián điệp và virus xâm nhập vào mạng công ty của bạn. Hơn nữa, sử dụng Deep packet inspection dựa trên các quy tắc và chính sách do bạn định ra, cho phép bạn phát hiện nếu có nhân viên sử dụng các ứng dụng mà bạn đã áp chính sách cấm cho ứng dụng đó.
Deep packet inspection cũng được sử dụng bởi các nhà quản lý mạng để giúp giảm lưu lượng mạng. Chẳng hạn, bạn có một tin nhắn có mức độ ưu tiên cao, bạn có thể sử dụng Deep packet inspection để cho phép thông tin mức độ ưu tiên cao có thể vượt qua ngay lập tức, trước các tin nhắn ưu tiên thấp hơn khác. Bạn cũng có thể ưu tiên các gói có nhiệm vụ quan trọng, trước các gói duyệt thông thường. nếu bạn gặp vấn đề với tải xuống ngang hàng với nhau, bạn có thể sử dụng Deep packet inspection để điều tiết hoặc làm chậm tốc độ truyền dữ liệu. DPI cũng có thể được sử dụng để tăng cường khả năng của ISPs để ngăn chặn việc khai thác các thiết bị IoT trong các cuộc tấn công DDOS bằng cách chặn các request độc hại.
Các nhà khai thác dịch vụ di động và các nhà cung cấp dịch vụ tương tự khác cũng sử dụng DPI để điều chỉnh dịch vụ của họ cho các thuê bao riêng lẻ cho phép họ phân biệt việc sử dụng dữ liệu như tất cả những gì bạn có sử dụng hay giá trị gia tăng. Các hãng thu âm và chủ bản quyền khác cũng có thể yêu cầu các ISP chặn nội dung của họ bị tải xuống bất hợp pháp - một quá trình đạt được thông qua DPI (Deep Packet Inspection).
Những lần khác, DPI được sử dụng để phục vụ quảng cáo được nhắm mục tiêu đến người dùng, đánh chặn hợp pháp và thực thi chính sách. DPI cũng có thể ngăn chặn một số loại tấn công tràn bộ đệm (Buffer overflow attacks).
Cuối cùng, DPI có thể giúp bạn ngăn chặn bất kỳ ai rò rỉ thông tin, chẳng hạn như khi nhân viên A Thư gửi một tập tin bí mật. Thay vì có thể gửi thành công từ xa, thay vào đó, người dùng B sẽ nhận được thông tin về cách nhận được sự cho phép và giải phóng cần thiết để gửi nó.
Cũng như các công nghệ khác, DPI cũng có thể được sử dụng cho các mục đích quốc gia, chẳng hạn như nghe lén và kiểm duyệt. Trên thực tế, chính phủ Trung Quốc đã biết sử dụng DPI để giám sát lưu lượng truy cập mạng của đất nước và kiểm duyệt một số nội dung và trang web có hại cho lợi ích của họ. Đây là cách Trung Quốc có thể ngăn chặn nội dung khiêu dâm, thông tin tôn giáo, tài liệu liên quan đến bất đồng chính trị và thậm chí các trang web phổ biến như Wikipedia, Google và Facebook.
Mặc dù DPI có nhiều trường hợp sử dụng tiềm năng, nó có thể dễ dàng phát hiện người nhận hoặc người gửi nội dung mà nó giám sát, do đó có một số lo ngại xung quanh quyền riêng tư. Đây chủ yếu là mối quan tâm khi DPI được sử dụng trong bối cảnh tiếp thị và quảng cáo, thông qua giám sát hành vi của người dùng và bán trình duyệt và dữ liệu khác cho các công ty tiếp thị hoặc quảng cáo.
Công Nghệ của Deep Packet Inspection
Hai loại sản phẩm chính sử dụng DPI: firewalls có các tính năng của IDS, chẳng hạn như kiểm tra nội dung và hệ thống IDS nhằm bảo vệ mạng thay vì chỉ tập trung vào phát hiện các cuộc tấn công. Một số công nghệ được sử dụng cho DPI bao gồm:
Pattern hay signature matching
Cách tiếp cận sử dụng tường lửa đã sử dụng các tính năng IDS, Pattern hay signature matching, phân tích từng gói dựa trên cơ sở dữ liệu về các cuộc tấn công mạng đã biết. Nhược điểm của phương pháp này là chỉ có hiệu quả đối với các cuộc tấn công đã biết và không phải là các cuộc tấn công chưa được phát hiện.
Protocol anomaly
Một cách tiếp cận khác để sử dụng tường lửa với các tính năng IDS, giao thức anomaly sử dụng cách tiếp cận từ chối mặc định, đây là một nguyên tắc bảo mật chính. Sử dụng kỹ thuật này, các định nghĩa giao thức được sử dụng để xác định nội dung nào sẽ được cho phép. Điều này khác với cách tiếp cận đơn giản là cho phép tất cả nội dung không khớp với cơ sở dữ liệu Signature ,, như xảy ra trong trường hợp Pattern hay signature. Lợi ích chính của giao thức anomaly là nó cung cấp sự bảo vệ chống lại các cuộc tấn công chưa biết.
IPS solutions
Đây là một số giải pháp IPS triển khai các công nghệ DPI. Các giải pháp này có chức năng tương tự như trong dòng IDS của ED, mặc dù chúng có khả năng chặn các cuộc tấn công được phát hiện trong thời gian thực tế. Một trong những thách thức lớn nhất trong việc sử dụng kỹ thuật này là nguy cơ phát hiện sai, có thể được giảm thiểu ở một mức độ nào đó thông qua các chính sách cụ thể.
Một số hạn chế tồn tại với những điều này và các kỹ thuật DPI khác, mặc dù các nhà cung cấp đưa ra các giải pháp nhằm loại bỏ các thách thức thực tế và kiến trúc thông qua các phương tiện khác nhau. Ngoài ra, các giải pháp DPI hiện đang có một loạt các công nghệ miễn phí khác như VPN, phân tích phần mềm độc hại, lọc chống spam, lọc URL và các công nghệ khác, cung cấp bảo vệ mạng toàn diện hơn.
Thách thức của Deep Packet Inspection
Không có công nghệ nào là hoàn hảo, và DPI cũng không ngoại lệ. Nó có ba điểm yếu riêng biệt:
- DPI rất hiệu quả trong việc ngăn chặn các cuộc tấn công như tấn công từ chối dịch vụ, tấn công tràn bộ đệm và thậm chí một số hình thức của malware. Nhưng nó cũng có thể được sử dụng để tạo ra các cuộc tấn công tương tự.
- DPI có thể làm cho tường lửa hiện tại của bạn và phần mềm bảo mật khác mà bạn sử dụng phức tạp hơn và khó quản lý hơn. Bạn cần chắc chắn rằng bạn liên tục cập nhật và sửa đổi các chính sách DPI để đảm bảo hiệu quả liên tục.
- DPI có thể làm chậm mạng của bạn bằng cách dành tài nguyên cho tường lửa của bạn để có thể tải và xử lý.